Corner-top-right-trans
Berliner Beauftragte für Datenschutz und Informationsfreiheit

Technische Aspekte


Die Nutzung von privaten mobilen Geräten am Arbeitsplatz ist außerdem mit technischen Risiken verbunden. Grundsätzlich gibt es Maßnahmen, die eine sichere Nutzung von mobilen Geräten ermöglichen.

Mögliche Bedrohungen

Eine wesentliche Bedrohung ist der unberechtigte Zugriff auf das Gerät und damit auf die lokal gespeicherten Daten. Ein mögliches Szenario wäre ein Diebstahl oder der Einsatz einer Schadsoftware. Dabei kann z. B. ein Trojaner Tastatureingaben mitlesen und diese zu einem definierten Zeitpunkt zu einem vorher eingetragenen Ziel senden. Nach einem Diebstahl könnten u. a. Kontaktdaten, Anruflisten, Kennwörter, Fotos und SMS extrahiert werden. Auch könnten Unbefugte Kenntnis von wichtigen Unterlagen erlangen oder Schadsoftware Daten verfälschen oder zerstören.

Die Anbindung der Geräte an die Informationstechnik des Arbeitgebers kann insbesondere zur Gefährdung dieser Infrastruktur führen. Kommunikationseinrichtungen können durch „DoS”-Angriffe gestört werden. Auch können über diese Wege unerlaubte Zugriffe auf im Firmennetz gespeicherte Daten erfolgen sowie durch ein nicht ausreichend geschütztes Gerät Schadsoftware eingeschleust werden. Auf Smartphones und Tablet-PCs existieren zahlreiche Apps. Gefährdungen können nicht nur von systemeigenen Apps ausgehen, sondern auch von Cloud-Apps und -Services, auf die über das Gerät zugegriffen wird. Apps können über weitreichende Rechte verfügen und führten schon zu so manchem Skandal, weil komplette Adressbücher an Unbefugte übertragen wurden.

Sicherheitsmaßnahmen

Neben den bekannten Risiken und Maßnahmen beim herkömmlichen PCEinsatz sind die neuen Betriebssystemplattformen und der Einsatz von „Apps“ zu betrachten.

Besonders hervorzuheben ist die Authentifikation. Der Nutzer muss sich gegenüber dem System am sichersten per Zwei-Faktoren-Authentifizierung anmelden. Beim Smartphone sollte nicht nur die Sim-Kartensperre, sondern auch die Bildschirmsperre aktiviert sein, damit z. B. ein Angreifer in einer Konferenzpause nicht „auf die Schnelle“ die im Handy gespeicherten Informationen zur Kenntnis nehmen kann. Die Integration in die Infrastruktur des Arbeitgebers sollte nur gesichert erfolgen. Dies kann z. B. verschlüsselt über VPN realisiert werden. Aktuelle Virenscanner auf den mobilen Geräten sind obligatorisch.

Als weitere Sicherheitsmaßnahme kann eine sinnvolle Protokollierung dienen, die eine Feststellung von Angriffen ermöglicht. Die Installation eines Patchmanagements reduziert die Gefahr, dass Sicherheitslücken durch Angreifer genutzt werden. Auch kann ein mobiles Gerät durch Desktop-Virtualisierung in zwei Bereiche – Arbeit und Privat – unterteilt werden. Bei einem Anbieter werden hierbei zwei Betriebssysteme installiert. Dienstliche Daten können so z. B. grundsätzlich im Rechenzentrum gespeichert werden. Sollten doch Daten lokal auf dem Gerät gespeichert worden sein, kann die IT-Abteilung eine Löschung aus der Ferne einleiten. Beim „Application Streaming“ sind nicht nur die Daten, sondern auch die Anwendungen im gesicherten Rechenzentrum des Arbeitgebers gespeichert. Ausschließlich die Benutzeroberfläche wird auf dem mobilen Gerät zur Verfügung gestellt. Bei Bedarf werden dann Anwendungen auf das mobile Gerät per Knopfdruck übertragen.

Zur Wahrung der Vertraulichkeit und Integrität sollten Daten nur verschlüsselt gespeichert werden. Dabei kann entweder der komplette Speicher des Gerätes verschlüsselt werden oder es können verschlüsselte Bereiche (Container) erzeugt werden, in denen Daten abgelegt werden.

Der Arbeitgeber kann auch eine Software zum „Mobile Device Management (MDM)“ einsetzen. Diese erlaubt es, die eingesetzten Geräte zentral zu verwalten. Die Möglichkeiten dieser Werkzeuge sind sehr vielfältig. So kann die PINEingabe erzwungen, Rechte verteilt und überwacht und Daten auf gestohlenen oder verlorenen Geräten ferngelöscht werden. Es ist jedoch zu berücksichtigen, dass meist nicht alle Betriebssystemplattformen gleichermaßen gut unterstützt werden.

Das BSI hat ein Papier zu diesem Thema angekündigt. Es ist anzunehmen, dass auch Maßnahmenempfehlungen im Grundschutzkatalog des BSI folgen werden.

Fazit

Das Phänomen BYOD ist weiter zu beobachten. Bestimmte Probleme, Bedrohungen und Sicherheitsmaßnahmen sind bekannt, Lösungen bereits diskutiert und verfügbar. Durch die Kombination verschiedener technischer und rechtlicher Maßnahmen müssen die Risiken beherrscht werden, die durch die Nutzung privater Datenverarbeitungsgeräte im beruflichen Umfeld entstehen. Deshalb sollte BYOD in der öffentlichen Verwaltung weiterhin die Ausnahme bleiben.

25.10.2013